CircleCI, LastPass, Okta y Slack: los ciberatacantes giran para apuntar a las principales herramientas empresariales

A principios de enero, el proveedor de servicios de canalización de desarrollo CircleCI advirtió a los usuarios sobre una brecha de seguridad e instó a las empresas a cambiar de inmediato las contraseñas, las claves SSH y otros secretos almacenados o administrados por la plataforma.

El proyecto ataque al servicio DevOps dejó a la empresa luchando por determinar el alcance de la infracción, limitar la capacidad de los atacantes para modificar proyectos de software y determinar qué secretos de desarrollo se habían visto comprometidos. En los días intermedios, la empresa rotó los tokens de autenticación, cambió las variables de configuración, trabajó con otros proveedores para hacer caducar las claves y continuó investigando el incidente.

“En este punto, estamos seguros de que no hay actores no autorizados activos en nuestros sistemas; sin embargo, por precaución, queremos asegurarnos de que todos los clientes tomen ciertas medidas preventivas para proteger sus datos también”, la compañía declaró en un aviso la semana pasada.

El proyecto Compromiso de CircleCI es el último incidente que pone de relieve el creciente enfoque de los atacantes en los servicios empresariales fundamentales. Servicios de identidad, como Okta y Ultimo pase, han revelado compromisos de sus sistemas en el último año, mientras que los servicios centrados en desarrolladores, como Flojo y GitHub, también se apresuró a responder a los ataques exitosos en su código fuente e infraestructura.

El exceso de ataques a las principales herramientas empresariales destaca el hecho de que las empresas deberían esperar que este tipo de proveedores se conviertan en objetivos regulares en el futuro, dice Lori MacVittie, una distinguida ingeniera y evangelista de la firma de seguridad en la nube F5.

“A medida que confiamos más en los servicios y el software para automatizar todo, desde la construcción del desarrollo hasta las pruebas y la implementación, estos servicios se convierten en una atractiva superficie de ataque”, dice. “No pensamos en ellas como aplicaciones en las que se centrarán los atacantes, pero lo son”.

Servicios de identidad y desarrollo bajo ciberataque

Últimamente, los atacantes se han centrado en dos categorías principales de servicios: sistemas de gestión de acceso e identidad e infraestructura de aplicaciones y desarrolladores. Ambos tipos de servicios sustentan aspectos críticos de la infraestructura empresarial.

La identidad es el pegamento que conecta cada parte de una organización, además de conectar esa organización con socios y clientes, dice Ben Smith, CTO de campo en NetWitness, una firma de detección y respuesta.

“No importa qué producto, qué plataforma esté aprovechando… los adversarios han reconocido que lo único mejor que una organización que se especializa en autenticación es una organización que se especializa en autenticación para otros clientes”, dice.

Mientras tanto, los servicios y herramientas para desarrolladores tienen convertirse en otro servicio empresarial atacado con frecuencia. En septiembre, un actor de amenazas obtuvo acceso al canal de Slack para los desarrolladores de Rockstar Games, por ejemplo, descargar videos, capturas de pantalla y código del próximo juego Grand Theft Auto 6. Y el 9 de enero, Slack dijo que descubrió que "una cantidad limitada de tokens de empleados de Slack fueron robados y mal utilizados para obtener acceso a nuestro repositorio de GitHub alojado externamente".

Debido a que los servicios de identidad y desarrollo a menudo brindan acceso a una amplia variedad de activos corporativos, desde servicios de aplicaciones hasta operaciones y código fuente, comprometer esos servicios puede ser una clave fundamental para el resto de la empresa, dice Smith de NetWitness.

“Son objetivos muy, muy atractivos, que representan una fruta al alcance de la mano”, dice. “Estos son ataques clásicos de la cadena de suministro: un ataque de plomería, porque la plomería no es algo que se vea a diario”.

Para la defensa cibernética, administre los secretos con prudencia y establezca guías

Las organizaciones deben prepararse para lo peor y reconocer que no hay formas simples de prevenir el impacto de eventos tan impactantes y de gran alcance, dice Ben Lincoln, consultor senior de gestión de Bishop Fox.

“Hay formas de protegerse contra esto, pero tienen algunos gastos generales”, dice. “Así que puedo ver que los desarrolladores se muestran reacios a implementarlos hasta que sea evidente que son necesarios”.

Entre las tácticas defensivas, Lincoln recomienda la gestión integral de los secretos. Las empresas deberían poder "presionar un botón" y rotar todas las contraseñas, claves y archivos de configuración confidenciales necesarios, dice.

“Debe limitar la exposición, pero si hay una infracción, es de esperar que tenga un botón para rotar todas esas credenciales de inmediato”, dice. “Las empresas deben planificar ampliamente con anticipación y tener un proceso listo para funcionar si sucede lo peor”.

Las organizaciones también pueden tender trampas para los atacantes. Una variedad de estrategias similares a trampas permiten que los equipos de seguridad tengan una advertencia de alta fidelidad de que los atacantes pueden estar en su red o en un servicio. Crear cuentas y credenciales falsas, los llamados canarios credenciales, puede ayudar a detectar cuándo los actores de amenazas tienen acceso a activos confidenciales.

Sin embargo, en todas las demás formas, las empresas deben aplicar principios de confianza cero para reducir su área de superficie de ataque, no solo máquinas, software y servicios, sino también operaciones, dice MacVittie.

“Tradicionalmente, las operaciones estaban ocultas y seguras detrás de un gran foso [en la empresa], por lo que las empresas no les prestaban tanta atención”, dice. “La forma en que se construyen las aplicaciones y los servicios digitales hoy en día, las operaciones involucran muchas identidades de aplicación a aplicación, de máquina a aplicación, y los atacantes han comenzado a darse cuenta de que esas identidades son igualmente valiosas”.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools

Inteligencia de datos generativa

CircleCI, LastPass, Okta y Slack: los ciberatacantes giran para apuntar a herramientas empresariales básicas

Servicios de identidad y desarrollo bajo ciberataque

Para la defensa cibernética, administre los secretos con prudencia y establezca guías

¿El precio de TON aumentará un 35% mientras Toncoin sigue siendo alcista?

El metaplaneta japonés aumenta las tenencias de Bitcoin: ¡agrega 19.87 BTC para alcanzar los 7.4 millones de dólares en criptomonedas!

Información más reciente

El hacker detrás del envenenamiento de direcciones por valor de 68 millones de dólares inicia la comunicación

El inversionista de Pepe Coin (PEPE) de $ 4,500,000 se obsesiona con la altcoin viral Defi con una 'cuenta negra'

Binance supuestamente despidió al investigador que descubrió manipulación del mercado en la empresa cliente

Qué significa la actual estabilidad de precios para el mercado de futuros de Bitcoin

Qué significa la actual estabilidad de precios para el mercado de futuros de Bitcoin

La joya escondida de Coinbase: los analistas ven un potencial 'similar al de Amazon' en la base de red de capa 2